Обновление от:

• 18/12/2020 — В версии RouterOS 6.48 увеличили «group-key-update» до одного дня (ранее максимум был 1 час);
• 07/07/2019 — Почему может ещё возникать проблема с «disconnected, group key timeout»

Почему возникает ошибка «disconnected, group key exchange timeout» или «disconnected, group key timeout» и что с ней делать.

При построении Wi-Fi сети на базе оборудования Mikrotik, может возникать проблема с периодическими отключениями абонентских устройств от Wi-Fi сети и сообщениями в логе «disconnected, group key exchange timeout» или «disconnected, group key timeout» (на ROS < 6.45).

03:10:01 wireless,info A4:50:46:XX:YY:3D@wlan1: disconnected, group key exchange timeout 
03:10:10 wireless,info A4:50:46:XX:YY:3D@wlan1: connected, signal strength -50 
04:10:01 wireless,info A4:50:46:XX:YY:3D@wlan1: disconnected, group key exchange timeout 
04:10:05 wireless,info A4:50:46:XX:YY:3D@wlan1: connected, signal strength -50 
05:10:01 wireless,info A4:50:46:XX:YY:3D@wlan1: disconnected, group key exchange timeout 
05:10:10 wireless,info A4:50:46:XX:YY:3D@wlan1: connected, signal strength -49 
06:10:01 wireless,info A4:50:46:XX:YY:3D@wlan1: disconnected, group key exchange timeout 
06:10:20 wireless,info A4:50:46:XX:YY:3D@wlan1: connected, signal strength -49 
07:10:01 wireless,info A4:50:46:XX:YY:3D@wlan1: disconnected, group key exchange timeout 
07:10:24 wireless,info A4:50:46:XX:YY:3D@wlan1: connected, signal strength -50 
08:10:01 wireless,info A4:50:46:XX:YY:3D@wlan1: disconnected, group key exchange timeout 
08:10:29 wireless,info A4:50:46:XX:YY:3D@wlan1: connected, signal strength -50

Если поискать в гугле, то вопросы на эту тему возникают часто и с давних пор (самое раннее упоминание этой проблемы что я нашёл, был 2007 год).

Что же это за ошибка и что она значит…?

Что же это за ошибка и что она значит…?

«group key exchange» это процедура обновления временного ключа в WPA для broadcast и multicast трафика. Он общий для всех клиентов и периодически обновляется Wi-Fi роутером. В Mikrotik по умолчанию интервал обновления 5 минут.

У разных производителей, параметр обновления ключа может называться по разному. Например, в D-Link это — «Group Key Update Interval» , в Linksys — «Group key renewal» , а в Mikrotik — «group-key-update» .

В процессе обновления временного ключа, Wi-Fi клиенты его должны получить.

Обычно всё так и происходит, но… но не всегда…

Встречаются устройства, чаще всего смартфоны или медиаплееры, которые в состоянии сна (или если слабый уровень сигнала) не обновляют временный ключ и соответственно отключаются от Wi-Fi сети (ключ они не обновили, используют старый временный ключ, а в сети уже используется новый) и через несколько секунд подключатся снова.

Некоторые смартфоны не обновляют ключ когда засыпают (выключается экран).

Мой телефон Xiaomi Mi A2 Lite (Android 9), когда я им пользуюсь, то проблем нет, но как только он засыпает, то каждые N секунд (указанные в параметре «group-key-update» ) он отключается и подключается заново с ошибкой «disconnected, group key exchange timeout» . Когда смартфон спит, он не обновляет временный ключ.

У меня в Wi-Fi сети эксплуатируются множество смартфонов и ноутбуков и с ними такой проблемы нет. Т.е. проблема скорей всего в драйверах/прошивке Wi-Fi модуля в конкретном смартфоне.

Я решил собрать побольше информации по данной ситуации и полез в Интернет. Стало понятно, что данная проблема присутствует не только на Mikrotik, но и на D-Link, Linksys и у других производителей.

В сущности, это не проблема производителя Wi-Fi точек доступа, а проблема производителя клиентского устройства.

Как решить проблему?

Если клиентское устройство новое, остаётся надеяться, что производитель обновит прошивку и проблема исчезнет, ну а пока, будем действовать своими силами.

Частичное решение данной проблемы, известно давно. Оно не решает проблему полностью, а минимизирует её.

Мы можем увеличить интервал обновления временного ключа. В Mikrotik это параметр «group-key-update» . По умолчанию он 5 минут, ставим 1 час.

В версии RouterOS 6.48 увеличили «group-key-update» до одного дня!

Mikrotik: WPA Group Key Update

В консоли

/interface wireless security-profiles set default group-key-update=1h

Такой же параметр есть и в CAPsMAN

Mikrotik: CAPsMAN WPA Group Key Update

В консоли

/caps-man security set security1 group-key-update=1h

Да, полностью это не избавит от проблемы, но значительно её минимизирует. Теперь проблемное спящее устройство (смартфон или медиаплеер) будет отключаться раз в час.

Страшно ли это? Думаю, что нет! Если устройство спит, то им явно не пользуются, значит если оно раз в час отключится от Wi-Fi, то ни чего криминального не случится.

Хочу ещё раз акцентировать внимание, что данная ситуация возникает не только на Mikrotik, но и у других производителей и проблема скорей в клиентских устройствах.

Что сделано не удобно в Mikrotik по сравнению с другими производителями, так это то, что максимальный интервал обновления ключей можно выставить один час, в то время как у других производителей можно установить например сутки. Соответственно клиенты реже замечают какие-то проблемы, т.к. связь рвётся раз в сутки.

С точки зрения безопасности, конечно лучше не ставить большой интервал обновления временных групповых ключей, но тут вы решайте для себя сами, что вам важнее безопасность или стабильность.

Почему может ещё возникать проблема

Собрал статистику по своим объектам, где развёрнута Wi-Fi сеть на Mikrotik и обнаружил ещё возможную причину возникновения ошибки «disconnected, group key timeout» — плохой уровень сигнала от клиентского устройства.

Логи анализировал примерно за один месяц. В Wi-Fi сетях используются клиентские устройства Apple, Samsung, Xiaomi, Huawei и др.

Пример:

23:14:06 caps,info 6C:40:08:XX:YY:10@2G-CAP-2-1 connected, signal strength -78 
23:15:12 caps,info 6C:40:08:XX:YY:10@2G-CAP-2-1 disconnected, group key timeout 
23:15:15 caps,info 6C:40:08:XX:YY:10@2G-CAP-2-1 connected, signal strength -76 
23:15:48 caps,info 6C:40:08:XX:YY:10@2G-CAP-2-1 disconnected, group key timeout 
23:15:50 caps,info 6C:40:08:XX:YY:10@2G-CAP-2-1 connected, signal strength -78 
23:40:24 caps,info 6C:40:08:XX:YY:10@2G-CAP-2-1 disconnected, group key timeout 
23:40:31 caps,info 6C:40:08:XX:YY:10@2G-CAP-2-1 connected, signal strength -77 
23:42:12 caps,info 6C:40:08:XX:YY:10@2G-CAP-2-1 disconnected, group key timeout 
23:42:18 caps,info 6C:40:08:XX:YY:10@2G-CAP-2-1 connected, signal strength -76

Выше видно, что клиентское устройство (Apple) постоянно отключается и подключается и так всю ночь. Судя по всему, пошли спать (судя по времени) и телефон находится в месте, где слабый уровень сигнала (-76…-78 dBm).

Обратите внимание, на данном объекте параметр group-key-update установлен на 1 час, но клиентское устройство отключается чаще. Это ошибка в ROS.

В 6.43.8 эту ошибку исправили:

Changes in this release: 
...
*) capsman - fixed "group-key-update" parameter not using correct units; 
...

Так что, не забываем вовремя обновлять ROS и конечно Firmware!

Далее, в 09:07, телефон уже с хорошим уровнем сигнала (-62 dBm) подключился к AP

09:07:26 caps,info 6C:40:08:XX:YY:10@2G-CAP-2-1 disconnected, group key timeout 
09:07:33 caps,info 6C:40:08:XX:YY:10@2G-CAP-2-1 connected, signal strength -62 

и уже следующее отключение произошло только через два часа.

На данном объекте, версия ROS 6.43.2. CAP — cAP ac (RBcAPGi-5acD2nD), CAPsMAN — hEX PoE (RB960PGS).

На других объектах используются разные версии ROS от 6.42.11 до 6.45.1 и различные Mikrotik’и (hAP ac Lite, hAP ac, hAP ac², CAP ac, wAP и др.).

На этих объектах схожая ситуация. Я не обнаружил ни с чем не связанного массового появления ошибки «disconnected, group key timeout» . Если она возникала, то причина была в слабом уровне сигнала от клиентского устройства (в логах, в момент появления ошибки — «disconnected, group key timeout» , так же часто была ошибка «disconnected, extensive data loss» и после подключения устройства, уровень сигнала был низкий, например — «connected, signal strength -77» ).

Пока без причинное появление ошибки «disconnected, group key timeout» проявляется только на моём телефоне Xiaomi Mi A2 Lite, когда он засыпает. Буду ждать обновки прошивки.

Подведём итоги

И так, ошибка «disconnected, group key exchange timeout» или «disconnected, group key timeout» может возникать в двух случаях:

1. Некоторые клиентские устройства, когда засыпают не обновляют групповой ключ.
2. Когда слабый уровень сигнала между AP и клиентским устройством, могут быть проблемы с обновлением группового ключа.

Если у вас есть ещё варианты, пишите в комментариях.

Полезные ссылки

• Настройка MikroTik CAPsMAN v2 на hAP ac (2.4 ГГц и 5 ГГц)

The following two tabs change content below.

• Bio
• Latest Posts

Андрей Торженов

В профессиональной сфере занимаюсь всем, что связанно с IT. Основная специализация - VoIP и сети передачи данных. Стараюсь не заниматься Windows серверами (но иногда приходится) и 1С.

Latest posts by Андрей Торженов (see all)

• Куда переходить с Helpdesk OTRS? Альтернативы OTRS - 27/02/2022
• Windows 11. Не работает обновление, не входит в OneDrive, OneNote и другие Microsoft сервисы - 29/01/2022
• Попытка взлома Mikrotik? - 24/12/2021
• После обновления до Proxmox 7.1 не запускаются виртуальные машины - 28/11/2021
• libflashplayer.so пропатченный от Time bomb - 11/02/2021